本發(fā)明公開了一種加密流量分類模型訓練方法、檢測方法及裝置，包括：獲取多個應用的TLS流量，并解析出各條TLS流量的TLS握手狀態(tài)和TLS記錄長度；基于該條TLS流量的TLS握手狀態(tài)和TLS記錄長度分別提取相應的序列特征；將該條TLS流量的序列特征同時作為分類模型的輸入，以執(zhí)行訓練。本公開的方法無需人工提取序列特征，并且充分考慮TLS協(xié)議本身的特征，在對分類模型進行訓練后可以提高加密流量分類的準確率。

技術領域

本發(fā)明涉及網(wǎng)絡安全技術領域，尤其涉及一種加密流量分類模型訓練方法、檢測方法及裝置。

背景技術

隨著信息技術的飛速發(fā)展，新的應用不斷涌現(xiàn)，網(wǎng)絡流量更是飛速增長，這給網(wǎng)絡流量分析帶來巨大的壓力和挑戰(zhàn)。網(wǎng)絡流量分類是指從網(wǎng)絡流量中通過特征識別出相關的協(xié)議或應用并對其進行分類，它對網(wǎng)絡流量分析有重大意義。流量分類有助于網(wǎng)絡運營商識別網(wǎng)絡中存在的特定應用和協(xié)議，并能夠發(fā)現(xiàn)異常流量。這可用于許多不同的目的，例如網(wǎng)絡規(guī)劃、區(qū)分應用優(yōu)先級、用于QoS保證以及安全控制的策略部署。例如，網(wǎng)絡運營商為了更好的用戶體驗可能希望為具有更高優(yōu)先級的應用分配更多的流量；企業(yè)網(wǎng)絡運營商可能通過應用級防火墻阻止來自給定應用程序的流量。這些都是網(wǎng)絡流量分類的具體應用。

為了保護用戶隱私和保證通信的安全性，越來越多的應用采用加密的方式進行通信。網(wǎng)絡流量的加密在提高安全性的同時使得傳統(tǒng)的基于端口和特征字匹配的流量分類方法不再適用，給網(wǎng)絡流量分類帶來了更大的挑戰(zhàn)。

發(fā)明內容

本發(fā)明實施例提供一種加密流量分類模型訓練方法、檢測方法及裝置，無需人工提取特征，充分考慮TLS協(xié)議本身的特征，在對分類模型進行訓練后可以提高加密流量分類的準確率。

本發(fā)明實施例提供一種加密流量分類模型訓練方法，包括：

獲取多個應用的TLS流量，并解析出各條TLS流量的TLS握手狀態(tài)和TLS記錄長度；

基于該條TLS流量的TLS握手狀態(tài)和TLS記錄長度分別提取相應的序列特征；

將該條TLS流量的序列特征同時作為分類模型的輸入，以執(zhí)行訓練。

在一些實施例中，獲取多個應用的TLS流量之后，所述訓練方法還包括：為各條TLS流量添加相應的標簽。

在一些實施例中，解析各條TLS流量的TLS握手狀態(tài)是基于該條TLS流量三次握手完成后執(zhí)行的。

在一些實施例中，基于該條TLS流量的TLS握手狀態(tài)和TLS記錄長度分別提取相應的序列特征是利用卷積神經(jīng)網(wǎng)絡CNN或者長短期記憶神經(jīng)網(wǎng)絡LSTM完成的。

在一些實施例中，基于該條TLS流量的TLS握手狀態(tài)和TLS記錄長度分別提取相應的序列特征包括：

將該條TLS流量的TLS握手狀態(tài)和TLS記錄長度進行轉換，以獲得固定長度的TLS握手狀態(tài)序列和固定長度的TLS記錄長度序列。

在一些實施例中，將該條TLS流量的TLS握手狀態(tài)和TLS記錄長度進行轉換包括：

對該條TLS流量的各TLS握手狀態(tài)進行編號；

基于各狀態(tài)編號將該條TLS流量的TLS握手狀態(tài)轉換為相應的編號序列，其中所述編號序列中的各編號還設置有用于指示數(shù)據(jù)傳輸方向的標識符；

截取第一長度的編號序列，以獲得固定長度的TLS握手狀態(tài)序列。

在一些實施例中，將該條TLS流量的TLS握手狀態(tài)和TLS記錄長度進行轉換還包括：

為該條TLS流量的TLS記錄長度數(shù)據(jù)添加用于指示數(shù)據(jù)傳輸方向的標識符，并截取第二長度，以獲得固定長度的TLS記錄長度序列。

本發(fā)明實施例還提供一種加密流量分類方法，包括：